Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 148 reacties
Submitter: T-Junkie

Beheerders van de wachtwoordmanager LastPass hebben bekendgemaakt dat hackers persoonsgegevens van zijn servers hebben buitgemaakt. Het zou niet gaan om wachtwoordarchieven, maar wel om onder andere e-mailadressen en wachtwoord-reminders.

De hack zou afgelopen vrijdag zijn ontdekt door systeembeheerders van LastPass. Na een onderzoek concludeert LastPass dat er geen versleutelde wachtwoordarchieven of LastPass-accounts zijn gestolen, maar dat er wel andere gevoelige data zijn buitgemaakt. Het zou gaan om e-mailadressen, wachtwoord-reminders, server per user salts en authenticatiehashes.

De beheerders stellen dat de door LastPass gehanteerde encryptie op zijn serverpark voldoende sterk is om de wachtwoordgegevens van vrijwel alle gebruikers voldoende te beschermen tegen bijvoorbeeld brute force-aanvallen. Zo wordt op serverniveau pbkdf2-sha256-encryptie toegepast, bovenop de encryptie van de wachtwoordarchieven aan de gebruikerskant. Ook zegt LastPass dat de authenticatiehashes op basis van een willekeurige salt gegenereerd worden.

Desondanks waarschuwt LastPass dat met name gebruikers die een zwak hoofdwachtwoord gebruiken voor hun wachtwoordarchieven dit wachtwoord zo snel mogelijk dienen te veranderen. Ook gebruikers die dit wachtwoord op andere sites gebruiken wordt dringend aangeraden dit te doen. Uit voorzorg is er voor alle nieuwe loginpogingen vanaf onbekende ip-adressen of een nieuw apparaat een controle van het account via e-mail noodzakelijk, tenzij two-factor-authorisatie is ingesteld. Ook het hoofdwachtwoord dient in dat geval vernieuwd te worden.

LastPass zegt het incident te betreuren maar belooft zo transparant mogelijk te zijn over de inbraak. Ook stelt het bedrijf dat het samen met beveiligingsdeskundigen en de autoriteiten de hack verder zal onderzoeken.

Moderatie-faq Wijzig weergave

Reacties (148)

Het moest haast een keer fout gaan al lijkt de schade nog mee te vallen.
Ik vind het risico van een gecentraliseerde online passwordmanager te groot.
Het is zo'n sappig doelwit dat iedereen die zich met dat soort zaken bezig houdt wel een keertje geprobeerd moet hebben om ze te kraken.
Het lijkt allemaal erg mee te vallen. Dit artikel geeft goed inzicht in de uitstekende beveiliging van Lastpass: http://arstechnica.com/se...crypted-master-passwords/
Ik hoor wel een hoop marketing bullshit als ik naar het verhaal van LastPass luister.
Alsof 3 honderd miljoen miljard keer je password hashen ook nog maar iets gaat toevoegen.
Maar met 'more is better' attitude klinkt het allemaal wel heel mooi voor de gemiddelde gebruiker.
Wel degelijk, daar moet namelijk echt werk voor gedaan worden om zoveel stappen te doorlopen.
Dat is verre van waar. Het meermaals coderen wordt zelfs afgeraden, omdat dan niet de wiskundige "garanties" gegeven kunnen worden op het resultaat. Het kan namelijk zomaar zijn dat door twee methodieken te gebruiken je veel makkelijkere inverse kan hanteren.

Een concreet voorbeeld is een miljard keer iets bij een bij een waarde op te tellen. Stel dat dat erg lang duurt, maar je kan wel vrij makkelijk en snel terug rekenen.

Misschien niet de beste link, maar zie http://security.stackexch...e-times-make-a-difference
Het kan namelijk zomaar zijn dat door twee methodieken te gebruiken je veel makkelijkere inverse kan hanteren.
Daar geloof ik niets van. Je kan hooguit de kans op een hash collision vergroten. Stel dat je twee wachtwoorden x en y beiden dubbel hasht is het mogelijk dat je dezelfde uitkomst krijgt. Stel dat de kans op een hash collision 1 op 1000 zou zijn bij een enkele hash is de kans op een hash collision bij een dubbele hash 1 op 1000 dat de eerste checksum hetzelfde is en als dat niet zo is nog eens 1 op 1000 dat het daarna wel zo is. Dan is de kans dus 1 - (999/1000)^2.

Als je de inverse van een hash wil vinden zal je moeten brute-forcen. Als je dan dubbel hasht zal je dus dubbel moeite moeten doen per poging.
Je stelling klopt op wiskundig vlak echter totaal niet.

Bij coderen kan het voorkomen dat het mogelijk niet verslechterd naarmate je hetzelfde (of andere) algoritmes meermaals toepast. Echter zijn daar dan wiskundige bewijzen voor dat dat ook daadwerkelijk zo is.

Met name met hashing wil je collisions en voorspelbaarheid zoveel mogelijk voorkomen, maar dat kan nu eenmaal niet gegeven het feit dat het resultaat dusdanig kleiner is dat het niet meer te herleiden is naar de bron (wat het hele idee achter hashing is). Daarom wordt het salten aangeraden om te voorkomen dat je alle wachtwoorden ineens om zou kunnen zetten met rainbow tables.

Hier is wat meer informatie http://www.reddit.com/r/c...twice_is_not_much_better/
Helaas heb ik de informatie van de universiteit niet meer tot mijn beschikking, maar de crux van het verhaal blijft dat wiskundig bewezen is dat algoritme a een bepaalde veiligheid heeft. Als je ook maar iets aan dat resultaat muteert, gooi je deze bewijzen weg. Het "beste" is om meer data de genereren en daarover eenmalig je algoritme op toe te passen.

EDIT
Je logica omtrent hashing klopt echter niet helemaal. Als je bij voorbaat al weet dat je "wachtwoord" (lees resultaat hash 1) altijd x lengte heeft, vallen er al heel veel mogelijkheden weg en is wellicht de kans op een collision juist groter in plaats van kleiner. In ieder geval maakt het het brute forcen een stuk makkelijker.

[Reactie gewijzigd door OsoreWatashi op 17 juni 2015 23:17]

Dat is een legitieme vertragingspoging, er zijn meer systemen die dat doen. Het oude 3DES is precies wat de naam zegt, DES maar dan drie keer.
Het hash-algoritme dat LastPass heeft gekozen is ontworpen om langzaam te zijn. Geen probleem als je één wachtwoord wil controleren maar wel als je er miljoenen wil checken. Al die rondes van het hash-algortime maken het weer net iets langzamer.

In theorie zou het kunnen dat het niks toevoegt omdat er een methode is die al die 100.000 bewerkingen samenvoegt tot een enkele bewerking maar die methode is nog niet gevonden.
Door 100K+ rounds pbkdf2 sha256 hashing toe te passen, maak je bijvoorbeeld het verschil tussen een password dat is te brute forcen in één dag, of in honderdduizend dagen.
Een verschil van dag en nacht dus!
Het lijkt nu allemaal erg mee te vallen. Deze keer. Maar CAPSLOCK2000 heeft gelijk: het is zo lucratief om een gecentraliseerde online passwordmanager aan te vallen, dat dit waarschijnlijk continu plaatsvindt. Dat maakt het concept erg kwetsbaar.
Maar juist ook weer beter....

Wie denk je dat zijn zaken beter op orde kan krijgen: Iemand die continu "aangevallen" wordt, of iemand die slechts af en toe aangevallen wordt?

De eerste evolueert veel sneller qua veiligheid en zal dan ook veel veiliger zijn. Het is maar net hoe je er naar kijkt.
Wie denk je dat zijn zaken beter op orde kan krijgen: Iemand die continu "aangevallen" wordt, of iemand die slechts af en toe aangevallen wordt?
De beveiling van LastPass in ongetwijfeld erg goed maar ik heb toch een paar bezwaren.

Ten eerste kan ik de beveiliging niet controleren. Ik moet ze op hun woord geloven dat het goed geregeld is.

Ten tweede valt er niks te kraken als aanvallers niet bij mijn wachtwoordbestand kunnen. Daarvoor moeten ze het eerst vinden. Als je wachtwoorden bij LastPass staan is in ieder geval duidelijk waar ze te vinden zijn.

Ten derde is er voor professionele krakers een afweging tussen hoeveel moeite ze moeten doen en wat het oplevert. In potentie is de opbrengst van LastPass gigantisch. Iedereen zal proberen om LastPass te hacken. Een enkele fout bij LastPass kan genoeg zijn en er zijn hordes krakers die voortdurend proberen die fout te vinden.

Je hebt wel een beetje een punt dat je beveiling moet overlaten aan de professionals en dat je eigen gerommel vast minder veilig is maar ik gebruik liever een professionele oplossing die ik zelf host in mijn eigen geisoleerde netwerk/datacenter in plaats van een systeem dat noodzakelijkerwijs bereikbaar is vanaf het hele internet.
Ik denk wel dat je gelijk hebt. Maar: ken jij een oplossing die
  • je zelf kan hosten
  • net zoveel gemak biedt
  • door een gemiddelde gebruiker veilig is in te stellen
Onderschat het belang van de laatste twee punten niet: als het niet makkelijk genoeg is in gebruik, ga je het uiteindelijk niet meer gebruiken. En dat is nog onveiliger, want dat betekent terug naar zwakke wachtwoorden die ook nog eens voor heel veel sites gebruikt worden. (Eén van de fundamentele voordelen van een password-manager is natuurlijk dat je voor elke site een ander wachtwoord kan gebruiken, dat volledig willekeurig is.)

En je kan het wel zelf hosten, maar een gemiddelde gebruiker weet niet hoe je dat op een veilige manier doet. Dat betekent dat zo'n oplossing dus zo in elkaar moet zitten, dat je het niet onveilig kan gebruiken.

Ik ken zo'n oplossing niet. Maar als jij hem wel kent, hoor ik dat graag. Want dan ga ik hem direct installeren.
Keepass komt imho het beste in de buurt, eventueel gecombineerd met owncloud als je de passwordfile op meerder devices wil hebben.

Ik ken nog wel andere systemen die nog mooier zijn maar die zijn niet geschikt voor "gewone" gebruikers.
Keepass werkt alleen op Windows. En is niet bepaald ontworpen voor gebruik op verschillende devices. En ownCloud is nou ook niet echt iets wat een gemiddelde gebruiker makkelijk zelf kan installeren.
Er is anders software beschikbaar voor Android, Linux, Mac, Windowsphone, Palm, Blackberry en J2ME. Voor de synchronisatie zou je ook nog Dropbox kunnen gebruiken (en dan vervolgens het key bestand zelf naar de devices kopieren zodat iemand die je dropbox hacked nog steeds niks aan de database heeft)

Daarnaast zou je natuurlijk ook niet automatisch kunnen syncen, maar dan heb je wel een administratieve last wanneer je ergens een nieuw account aanmaakt.

Het voordeel blijft dat je zelf bepaald wat er met de versleutelde database gebeurt en hoe jij denkt dat je die op een veilige manier kunt delen.
Ik zie niet in waarom een "eigen" database synchroniseren via Dropbox veiliger zou zijn dan de LastPass-oplossing.

[Reactie gewijzigd door trab_78 op 16 juni 2015 15:23]

Beveiliging is vergelijkbaar maar de bounty is lager. Op Dropbox kijken hackers, als ze er al in komen, eerder naar automatisch geuploade naakt selfies.

Maar Dropbox is een eigen keuze voor de mensen die onwcloud 'te ingewikkeld' vinden. Het veel veiligere sneakernet kan natuurlijk ook.

[Reactie gewijzigd door Janoz op 16 juni 2015 15:27]

Op Linux kan je kpcli gebruiken: http://kpcli.sourceforge.net/
Zie mijn eerdere reactie: in hoeverre is een command line interface gemakkelijk voor de gemiddelde gebruiker?
De laatste keer dat ik het checkte, was KeepassX zo goed als onbruikbaar op de Mac.
Keepass werkt op OSX, Linux, iOS, Android en Windows. Er zijn clients voor ieder platform.

Ik heb ze recent op alle platforms gebruikt en ze werken allemaal even goed. Voor ieder platform is een gewone GUI versie beschikbaar.

[Reactie gewijzigd door Pindamann op 16 juni 2015 18:49]

Ja, ik heb mijn eigen oplossing gemaakt. :) Juist omdat ik dit soort online tools van voor mij onbekende externen niet vertrouw.
En daar heb je natuurlijk meteen een open source project van gemaakt, zodat de rest van de wereld er ook van kan meegenieten... ;) Wat is de URL?
Nog niet, maar kan ik doen als je dat wil. Ben wel momenteel bezig om het responsive design in de tool te verbeteren. Zal em daarna eens op github gooien.
Doen! Ik ben heel benieuwd... Stuur je me een berichte als het online staat?
Dat de schade likt mee te vallen wordt altijd als excuus gebruikt voor alle databreuken, meestal klopt er nooit iets van dit soort initiële uitspraken.
Aan de andere kant is met LastPass wel weer relatief makkelijk om zowel je hoofwachtwoord als de wachtwoorden van al je belangrijke accounts te veranderen. Als de hackers al iets met de gegevens konden, dan daarna niet meer.
Success met het kraken van het menselijk brein. Je hoeft niet per website een apart wachtwoord te hebben, reinste onzin. Ik onthoud die tiental wachtwoorden wel.
Ik kraak een van je sites die zijn beveiliging niet op orde heeft, en gebruik dan dezelfde login en wachtwoord op de andere 50 waar je hetzelfde wachtwoord gebruikt. Superdoei met je domme systeem.
En dus? Zit je op 50 rotzooi websites a la fok.nl, nu.nl, dumpert, liveleak, skoften, WAYN en noem ze maar op. Zal me aan me achterste oxideren als je daarbij komt, het mail adres wat erachter zit kom je toch niet in, dus veel kun je er toch niet mee.

DigiD, Bankzaken, email (MS/Google), LinkedIn, Facebook, Steam, Origin en Tweakers hebben hun eigen unieke wachtwoorden die 1-2 keer per jaar wijzigen, de rest is eigenlijk grabbelen uit de ton "oude wachtwoorden". Zolang ik er maar in kom. Ik weet zelf al vaak niet welk wachtwoord of username ik waar gebruik en ik mezelf moet brute forcen :P

Elke site die je niets intereseert hoef je echt geen apart wachtwoord voor te hebben.

Overigens gebruik ik weinig dezelfde username, maar is niet echt van belang.

Maar het niet noteren van wachtwoorden is gewoon de beste beveiliging.

[Reactie gewijzigd door batjes op 16 juni 2015 14:01]

Voor de gemiddelde gebruiker is dit geen optie. Jij hebt misschien een bovengemiddeld geheugen, dat wil niet zeggen dat iedereen moeiteloos 10 wachtwoorden onthoudt die ook nog eens 2 keer per jaar wijzigen.

Bovendien niet je de belangrijkheid van op het oog onbelangrijke sites niet onderschatten.
Hoef je geen bovengemiddeld geheugen voor te hebben, ik weet me rekening nr niet eens uit me hoofd. Een random string per website/login is gewoon zinloos. Een random string wachtwoord is sowieso onveiliger. (gewoon alleen al omdat je het zelf makkelijker vergeet en dus moet gaan noteren). Je ww uit de gebruikelijke rainbow tables houden is voldoende.

Paar ongebruikelijke woorden gebruiken, eventueel een paar letters vervangen met leestekens, random hoofdletter her en der en/of leetspeek en je bent net zo veilig als de random string wachtwoorden, en hij is te onthouden, dus hoeft niet genoteerd te worden.

Overigens zijn ellenlange ww's ook redelijk zinloos, zodra je boven de 11-12 leestekens komt ga je bij een beetje fatsoenlijke ww encryptie tegen de honderden miljoenen jaren aan brute forcen aanlopen.

Met zo'n wachtwoord kluis verplaats je het probleem alleen en creëer je een centraal punt van falen.

[Reactie gewijzigd door batjes op 16 juni 2015 18:00]

Je bent zo naief dat ik je bijna identiteitsfraude toe wens.

Hopelijk kom je er nooit achter. Met jouw rotzooi websites kom ik meer over je te weten dat jij je nu realiseert.

Aan het einde van het verhaal blijft het natuurlijk allemaal een persoonlijke keuze, dus boeie. Je hebt alleen jezelf er mee.
Wat wou je uit mijn rotzooi websites halen? Ik geef daar absoluut geen persoonlijke info weg.

Elke site die ook maar enigsinds aan mij persoonlijk gelinked is zoals genoemt, zijn geen standaard wachtwoorden, maar dat is een handje vol, paar wachtwoorden moet iedereen wel kunnen onthouden.

Mijn belangrijkste zijn Outlook en Gmail, en die sturen mij een SMS zodra er iets verdachts gebeurt.

FB, dikke boeie? LinkedIn ook amper interessant, wat je daar aan info uit kan halen is toch (semi) publiekelijk in te zien.

Maar alle enigsinds belangrijke wachtwoorden zijn uniek en onthouden, niets genoteerd. Staan zeker niet in rainbow tables en complex genoeg dat er bruteforcen aan de praat komt. Wat op het internet vrijwel onmogelijk is. En zels op saltless gehashde wachtwoorden redelijk tijdrovend genoeg dat het gewoon zinloos is. Men gaat niet voor 2miljoen aan Azure huren om mij ww hash in een week te kraken. En waar men de veiligheid in orde heeft zijn ze meer geld en tijd kwijt.

Mijn telefoon is een redelijk centraal punt van falen, maar zie die maar te jatten, en lang genoeg te gebruiken voordat ik de kill switch aanzet.(zonder internet is de data op me telefoon useless, misschien geluk dat in de laatste 25 mailtjes iets staat waar je wat mee kan)

Het is zeer zeker veiliger en minder kansloos dan je wachtwoorden in een excel sheet te zetten of een wachtwoordkluis als lastpass (hoef je nog maar 1 wachtwoord te achterhalen ;) )

Uitzonderingen daargelaten, paar honderd servers beheren en die wachtwoorden onthouden of gelijk maken is niet te doen of compleet idioot. Maar ik ging uit van henk en ingrid. Mail, digid, bank, facebook en dan houdt het al snel qua verschillende persoonsgevoelige login gegevens. Als je niet 5 wachtwoorden kan onthouden heb je volgens mij andere belangrijkere problemen dan je internet veiligheid.
Precies dit. Iemand anders merkte ook al op dat er waarschijnlijk continu gepoogd wordt om LastPass te hacken. Ik ga er vanuit dat zij hun security op orde hebben (anders is bedrijfsrisico te groot) en dat kun je thuis niet evenaren met een ownCloud + KeePass installatie, maar je bent wel minder kwetsbaar omdat de bounty kleiner is.
Internet is gewoon niet te beveiligen. Nu niet en nooit niet.

Dat besef moet maar eens doordringen bij iedereen
Een ander risico is dat de encryptiemethode gedesignd is door de NSA. "SHA-2 is a set of cryptographic hash functions designed by the NSA" bron:https://en.wikipedia.org/wiki/SHA-2

SHA256 encryptie met 100.000 rounds + pbkdf2 vertragers zijn wel 'op niveau' dus er zijn geen grote fouten gebeurd.In tegendeel.

De Wachtwoorden zijn 'salted' waardoor enkel nog maar een brute force attack mogelijk is.

"We are confident that our encryption measures are sufficient to protect the vast majority of users," Siegrist wrote. "LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."

Als de aantal rounds verdubbelen zal efficientie dat de hacker passwoorden kan kraken expenentieel afnemen. Waardoor de 'cost per password' er hoog wordt.

Stel elk password is ¤1 waard en de hack kost ¤2 per paswoord, dat zit je safe ;-) Nu ik kan niet direct de effectieve kost vinden maar het gaat om het principe.

Lastpass gebruikt de 100K iterations al van 2011. In 2012 was 64K de norm. in 2013 128k etc. Het gaat natuurlijk samen met de beschikbare' computing power / energy cost'.

"Note that a single machine with 8 modern GPU's can crack 1 million WPA/WPA2 [i.e. PBKDF2(HMAC-SHA1, passphrase, ssid, 4096, 256)] passwords per second, which is equivalent to more or less 4 billion PBKDF2 iterations per second. Therefore, at 90,510 iterations per entry, that single, not very expensive machine could perform about 44,000 tries per second, or about 3.8 billion tries per day. Clearly, strong passwords are still requires, as these are timed by a program that does rules-based dictionary attacks (i.e. take this wordlist, try adding numbers from 0 to 999 at the end, 1337ify it, 1337ify it and capitalize the first letter, etc. etc.), not just simple brute force! Reference: (https://hashcat.net/oclhashcat-plus/)

On the other hand, that machine could try about 17.7 billion salted single SHA-1 iterations per second, or about 1.5 quadrillion tries per day, so the PBKDF2 option is clearly much better, though more iterations is clearly better."

EDIT: Blijkbaar is SHA-2 toch geen heilige koe:
Let me set the record straight: No cryptographic hash algorithm — salted or unsalted — is sufficient for password storage.It does not matter if you are using MD4, MD5, SHA1, SHA2, or SHA3 — they are all equally bad.. You must only store passwords using an algorithm specifically designed for password storage, such as scrypt, pbkdf2, or any modern crypt(3) algorithm including bcrypt and sha512crypt."" bron

[Reactie gewijzigd door Coolstart op 16 juni 2015 15:03]

"Note that a single machine with 8 modern GPU's can crack 1 million WPA/WPA2 [i.e. PBKDF2(HMAC-SHA1, passphrase, ssid, 4096, 256)] passwords per second, which is equivalent to more or less 4 billion PBKDF2 iterations per second.
Als je daar op kickt moet je eens naar dit bakbeest kijken:
https://gist.github.com/epixoip/63c2ad11baf7bbd57544
https://sagitta.systems/hardware/gpu-compute-nodes/brutalis/

Dat is nog min of meer een normale server, geen supercomputer.
Klopt: het is de ultieme honeypot!
Vandaar dat ik dan ook maar mijn eigen wachtwoordmanager heb geschreven: werkt vanaf een USB stick die zo aan het sleutelbos gehangen wordt. Is ie uit de PC dan is hacken onmogelijk. Bij verlies: encrypted database en beveiliging tegen brute force aanvallen.
Niets is 'onkraakbaar', zeker niet als men het ding in bezit heeft, maar de kans dat ze er de hand op krijgen is wel erg klein gelet op het feit dat het geen 'breed gebruikte' software is en zijn data niet opslaat op een cloudserver.
Voor wie interesse heeft: het is shareware. Mail naar ron apenstaartje rtpsoftware.nl voor meer info...
Totdat LastPass eens serieus gehackt wordt blijf ik mensen in principe gewoon adviseren het te gebruiken als ze er moeite mee hebben verschillende accounts te voorzien van verschillende wachtwoorden.
Tot dusver is het vele malen veiliger dan het wachtwoordbeleid van veruit de meeste mensen.
Daarom gebruik ik PasswordSafe. Geen centrale opslag voor mij.
Ik maak al jaren met veel genoegen gebruik van Lastpass, maar hier hebben ze toch echt een steek laten vallen.

En dan heb ik het nog niet eens over het feit dat ze zijn gehackt, maar meer over het feit dat ik hierover werd geinformeerd door een nieuwssite. Als (betalende) gebruiker had ik op zijn minst wel een mailtje verwacht dat dit hele gebeuren, maar tot nu toe nog helemaal niks ontvangen...
Uit de faq bij het blog waarmee het bekend is gemaakt:
Veelgestelde vragen
Why haven’t I been notified by email? Emails are being sent to all users regarding the security incident. While this takes a bit longer than posting on the blog, we are working to notify users as fast as possible.

Do I need to change my master password right now? LastPass user accounts are locked down. You can only access your account from a trusted IP address or device – otherwise, verification is requested. We are confident that you are safe on your LastPass account regardless. If you’ve used a weak, dictionary-based master password (eg: robert1, mustang, 123456799, password1!), or if you used your master password as the password for other websites you need to update it.
Je account is al in lock-down modes,
Mail is onderweg, de blog was een snelle manier oom het nieuws te spreiden.
En daarom biedt Lastpass ook de mogelijkheid om je wachtwoorden nog veiliger op te slaan, waardoor je met het wachtwoord alleen nog steeds niet naar binnen kan via:
  • Two-factor-authorization via allerlei bekende en minder bekende systemen (Google Authenticator, Yubikey, Tooper, Grid, fingerprint scanner, smartcard, etc.)
  • Geo-fencing (zodat je alleen in bepaalde landen mag inloggen)
En mocht het misgaan, dan krijg je snel tot zeer snel een e-mailtje dat er mogelijk iets is gebeurd, daar zijn ze zeer open in (gelukkig!)

[Reactie gewijzigd door Garyu op 16 juni 2015 08:41]

Weet jij of iemand toevallig iets over Yubikey? Zijn die dingen echt superveilig? Ik denk al een tijdje na om ze aan te schaffen, om in combinatie met lastpass als backup key te gebruiken. Normaal gebruik ik nu de authenticator maar wat als ik mijn telefoon verlies?
Ik gebruik persoonlijk de Authenticator.

Als je je telefoon verliest, dan kan je de two-step wel weer uitschakelen, en op je nieuwe telefoon weer inschakelen. (been there, done that, got the t-shirt...)
Maar als dat mogelijk is hoe veilig is 2F dan? of vragen ze je betaalgegevens (bij premium account)? heb namelijk mijn geheime hint expres niet serieus ingevuld. Verder is het wel praktisch want gebruik de auth app voor 5-6 dingen.
Yubikeys zijn inderdaad erg veilig en het systeem werkt uitstekend. Ik gebruik al jaren een Yubikey Standard als tweede factor voor LastPass en heb er in al die jaren nooit een storing mee gehad. Naast LastPass gebruik ik hem ook voor mijn SSH-sessies, via de PAM-module.

In de praktijk heb je hem zelden nodig, omdat je de computers die je dagelijks gebruikt waarschijnlijk als 'trusted' markeert. Hij beschermt dus vooral tegen toegang vanaf onbekende locaties. Het ding hangt al jaren onmerkbaar aan mijn sleutelbos en is erg degelijk.

Als ik nu een nieuwe zou kopen zou ik waarschijnlijk de nieuwe Edge kopen, omdat die ook ondersteuning biedt voor FIDO/u2f. Dit nieuwe universele systeem wordt o.a. ondersteund op je Google account. Voor LastPass is een standaard Yubikey al voldoende.
Dankjewel de Edge zou een mooie optie zijn, wacht nog even af hoe het nu verde gaat met Lastpass, en wat er precies buitgemaakt is.
Is geo-fencing niet eenvoudig te omzeilen met een vpn of proxy? en het land van herkomst te achterhalen via een googlesearch op de buitgemaakte gebruikersnaam en/of het mailadres van een gebruiker?
Het voorkomt misschien wel untargeted brute force methoden...
Ik heb anders gewoon een mailtje ontvangen.
Ik ook, maar pas op dinsdagmorgen, dat vondt ik betrekkelijk rijkelijk omdat de hack vrijdag al is gedetecteerd.
Je weet dat als iemand echt wilt inbreken dat dit altijd lukt? Ik ben zuinig met het woordje altijd, maar hier is het op zijn plaats.

Afgelopen vrijdag zijn ze gehackt. Toen ook geconstateerd. En maandag (gisteren) hoorde ik er al van.

Dat zijn wat mij betreft allemaal pluspunten waar menig bedrijf juist nog iets van zou kunnen leren.

Niks, maar dan ook echt niks, is 100% veilig.
Ik weet niet hoeveel gebruikers er zijn, maar geen enkele mailserver kan miljoenen mails tegelijk versturen, dat word verdeeld over uren/dagen
LastPass heeft wel een notificatie via de email verstuurd, maar pas om half 6 vanacht.
Hier toch ook een mail hoor...
Ik heb netjes een mailtje ontvangen. Is het lastpass mailtje niet toevallig in je spam of junk folder terecht gekomen?
Wat betreurenswaardig is dat ze s 'maandags met een persbericht komen wat ze afgelopen vrijdag al wisten.
Gelukkig gebruik ikzelf Enpass, en sync never ever wachtwoorden in the cloud.
Dat is normaal als er iets gehacked is.
Dat is meestal om:
- Te controleren of alle hackers er intussen uitgetrapt zijn
- Zo neen: even flink extra bewijs verzamelen
(^^ en die kansen daarop vernietig je als je direct publiceert... Dan maakt den hacker dat hij/zij wegkomt en zoveel mogelijk sporen wist.)
- Een grondige analyse te maken en controleren wat er nu precies gebeurd is
- Eventuele lekken dichtgooien, want ook dat is wel zo fijn om te doen voor publicatie...
... En dan release je. :)

Binnen 3 dagen tijd is een prachtige en zeer redelijke tijd.

[Reactie gewijzigd door WhatsappHack op 16 juni 2015 02:11]

Want waar je het in de cloud zet kan nooit gehacked worden?
Voor mij geen LastPass, maar een hele goedkope server in de meterkast (bv. een Raspberry Pi), ssh erop (liefst met public key), en dan alle wachtwoorden in een tekstbestand en dan encrypten met gpg. Minder luxe, maar wel veilig(er).
En een Raspberry Pi is niet te kraken? SSH is niet te kraken? GPG is niet te kraken? Alle laatste patches zijn altijd geinstalleerd?

Op het moment dat je een wachtwoordenlijst ergens aan het net hangt, kun je maar beter zeker zijn van de beveiliging op orde is. Ik heb in ieder geval meer vertrouwen in de jongens van Lastpass dan in mezelf met een homebrew oplossing waarvan je maar moet hopen dat het niet te kraken valt.
Hackers zullen over het algemeen iets meer interesse hebben in het hacken van LastPass, dan een raspberry pi in een meterkast ;)
Precies. En decentralisatie heeft als voordeel dat als het fout gaat, het minder erg fout gaat.
En een Raspberry Pi is niet te kraken? SSH is niet te kraken? GPG is niet te kraken? Alle laatste patches zijn altijd geinstalleerd?
SSH en GPG zijn tools waar heel weinig gaten in zitten en als ze er in zitten, dan worden ze heel snel gefixt. En dan is het meestal een kwestie van uren voordat ik de patches geïnstalleerd heb. :-)
Op het moment dat je een wachtwoordenlijst ergens aan het net hangt, kun je maar beter zeker zijn van de beveiliging op orde is.
Mee eens.
Ik heb in ieder geval meer vertrouwen in de jongens van Lastpass dan in mezelf met een homebrew oplossing waarvan je maar moet hopen dat het niet te kraken valt.
Niet mee eens dus. Zij zijn gehackt en ik niet. En als ik word gehackt, dan ben ik alleen de lul. Als LastPass wordt gehackt zijn duizenden mensen de lul, waardoor misschien nog meer hacks plaatsvinden en er uiteindelijk nog meer mensen de lul zijn.
Een van de mooie dingen van dit soort password managers is dat ze het wachtwoord invullen zonder het op je scherm te tonen. Je kunt het dus veilig gebruiken op plekken waar je in het zicht zit. Met een tekstbestand heb je die luxe niet, ongeacht hoe zwaar je deze versleuteld hebt.
Waar bewaar jij je backup dan weer en zit er two factor op het decrypten van die file?
maar ook vele vele malen minder gebruiksvriendelijk. Dit is natuurlijk wel slim bedacht,maar als ik dat elke keer moest doorlopen voordat ik mijn spaarrekening (bijv.) kan inzien....
Lekker is dat. Als de hackers de wachtwoorden wél wisten te bemachtigen was dat niet best geweest. Ik heb zo'n beetje al m'n wachtwoorden opgeslagen op de pc. Niet bij LastPass, maar het kan bij iedereen gebeuren natuurlijk.
Al wat er (in principe) op de LastPass servers staat is een geëncrypteerd archief met je wachtwoorden. De encryptie en decryptie hiervan gebeurt volledig client side op basis van je master paswoord. Dit wil dus zeggen dat zelfs al kunnen ze dit archief bemachtigen, zo lang je master wachtwoord sterk genoeg is, het praktisch onmogelijk is om je wachtwoorden te achterhalen.

Ik blijf dit nog steeds een veiliger alternatief vinden dan al je wachtwoorden te moeten onthouden, je kan niet voor elke website een ijzersterk wachtwoord van tientallen karakters gaan onthouden. Nu kan je software zoals LastPass voor de domste site een wachtwoord van 20+ random karakters laten generen wat in principe nooit brute-forced kan worden. Zo lang je master paswoord maar sterk genoeg is, zijn al je wachtwoorden veilig. Of dat hoop ik toch alvast. :)

[Reactie gewijzigd door Joecatshoe op 16 juni 2015 01:01]

je kan niet voor elke website een ijzersterk wachtwoord van tientallen karakters gaan onthouden
Ik doe het als volgt een ijzersterk wachtwoord + wat extra wat voor elke site uniek is, maar makkelijk te onthouden.
Bijvoorbeeld een uniek wachtwoord: aZ6y@$%a plus de eerste 2 letters van het domein + 5.

Dan word het:

Tweakers: aZ6y@$%atw5
Facebook: aZ6y@$%afa5
Gmail: aZ6y@$%agm5

Je kunt het zo creatief en moeilijk uniek maken als je zelf wilt, maar overal een uniek moeilijk wachtwoord kan dus wel.
Deze moest ik even kwijt: https://xkcd.com/936/
Ik hoop dat je wachtwoord langer is dan 11 karakters :)
Ah, correct horse battery staple, de Godwin van de wachtwoorddiscussies.

Leg eens uit wat het probleem is van het gebruiken van een wachtwoord van 11 karakters op een site van Tweakers.net, even aangenomen dat deze site voor de meeste mensen niet zo belangrijk is. De schade die je met een account kunt doen valt meestal wel mee. Dat mag je meenemen in het bepalen hoe sterk je wilt dat een wachtwoord is.

Moet ik bang zijn dat iemand 1020 wachtwoorden gaat proberen?
Het ging in de discussie om lastpass en als er iets zou kunnen gebeuren met de lokale hashes dan kan het dus wel gevaarlijk zijn.
Je reageerde anders op iemand die duidelijk geen LastPass gebruikt.

Maar ok, let's assume LastPass. Leg eens uit hoe lang het duurt om een master password van 11 tekens te bruteforcen als je de salt en het aantal rounds weet. Is 1020 keer PBKDF2 met 100k rounds zwak? Wat kost dat, hoe lang kan je wachtwoorden er veilig mee bewaren en wat is de eventuele schade? Kortom, hoe bepaal je zo snel even dat 11 tekens te weinig is?

Dat neemt natuurlijk niet weg dat je idealiter een wachtwoord gebruikt dat zo lang is als je kunt onthouden en zo lang als je bereid bent in te voeren wanneer nodig.

Dit is overigens geen persoonlijke aanval, ik werd alleen getriggerd door de xkcd opmerking. Ik wil alleen maar duidelijk maken dat iedereen moet blijven nadenken over wat men precies aan het beveiligen is, en hoe. Als het om wachtwoorden gaat, is het niet eens informatie die permanent beveiligd moet zijn. Als je af en toe wachtwoorden wijzigt kan iemand over 10 jaar ook niet veel meer met de password database van 10 jaar oud, zelfs niet als die op dat moment in een fractie van een seconde kan worden gekraakt.
On an NVIDIA GTX Titan X, which is currently the fastest GPU for password cracking, an attacker would only be able to make fewer than 10,000 guesses per second for a single password hash. That is proper slow! Even weak passwords are fairly secure with that level of protection (unless you’re using an absurdly weak password.) And this doesn’t even account for the number of client-side iterations, which is user-configurable. The default is 5,000 iterations, so at a minimum we’re looking at 105,000 iterations. I actually have mine set to 65,000 iterations, so that’s a total of 165,000 iterations protecting my Diceware passphrase. So no, I’m definitely not sweating this breach. I don’t even feel compelled to change my master password.
Zo lang dus. Ik vind het jammer dat LastPass hier zo weinig krediet geniet. Natuurlijk zijn de risico's groter dan wanneer je de database offline op een stickie bewaard. Maar met een combinatie van 2FA en een sterk MPW ben je absoluut niet veel minder veilig.
Lastpass definitely understands this, as their password hashing is top-notch -- possibly the strongest we’ve ever seen, especially for a company of this size. 105,000+ rounds of PBKDF2-HMAC-SHA256 is definitely no joke.

So while it never looks good when a security company is compromised, there are a lot of positives here:

- They quickly identified, contained, and evaluated the scope of the breach
- They promptly notified users about the breach (within 72 hours)
- They are certainly doing proper password hashing (strong insurance policy)
- Vault data obviously isn’t stored on the same system as authentication data, evidence of strong segmentation

All in all, Lastpass is doing things correctly, and I will definitely continue to support them.
En zo is het maar net
Bron

[Reactie gewijzigd door JanvdVeer op 16 juni 2015 08:24]

Los van hoe goed alles beveiligd is, is mijn gevoel bij password managers toch altijd "dus een keylogger hoeft maar één password te onderscheppen en alles ligt open".

Nou snap ik wel dat als er een keylogger draait je sowieso een enorm probleem hebt, maar toch blijft een master password een single point of failure.

Maar goed, dit blijft een lastig onderwerp. Mensen zijn ontzettend slecht in random zooi onthouden (= sterke passwords) terwijl computers goed zijn in het kraken van wat mensen goed kunnen onthouden. De oplossing is dat we computers de passwords laten genereren zodat een andere computer dit niet makkelijk kan kraken maar omdat wij die passwords niet kunnen onthouden, hangen we het achter één enkel password. Vervolgens willen we overal wel bij kunnen, dus gaat dat master password online...niet bepaald de meest veilig locatie.

Pas als we overstappen op 2 of 3 factor / biometric authentication is er een kans dat dit probleem opgelost gaat worden.
Bij Lastpass is het gebruik van multifactor authentication al lang een mogelijkheid, en het wordt ook aangeraden.
Je hebt gelijk, maar dat hebben de makers van die password managers natuurlijk ook bedacht.

1. Gebruik voor zo'n belangrijk systeem altijd multifactor authenticatie. LastPass (en waarschijnlijk de meeste goede password managers) bieden hiervoor meerdere opties aan, zowel gratis als betaald. Persoonlijk gebruik ik een Yubikey als tweede factor en ik maak me dan ook weinig zorgen om deze hack.
2. Gebruik daarnaast een sterk en uniek master password (dus niet delen met een andere site).
3. Beperk de toegang tot landen waar je wel eens komt (geofencing, ook standaard mogelijk in LastPass).
Je kunt ook het virtuele keyboard gebruiken om in te loggen en zo keyloggers te omzeilen.
Er zijn helaas websites waar je wachtwoord max 10 karakters mag hebben |:(
Die sites moeten inderdaad worden verboden. Echt, welke site admin anno 2015 nog zo'n limiet hanteert.... |:(
Wat dat betreft spant de Belastingdienst wel echt de kroon hoor. Die durven de volgende absurde eisen te stellen:

Let op! Uw wachtwoord moet:
- anders zijn dan uw vorige wachtwoorden
- minstens 3 karakters bevatten die niet in het oude wachtwoord voorkwamen
- minstens 6 karakters lang zijn
- niet meer dan 3 dezelfde karakters bevatten
- minstens 3 letters bevatten
- minstens 1 cijfer bevatten


Nu zit er gelukkig geen maximale lengte in, maar als ik tegen de LastPass generator zeg dat ik 40 tekens wil, ben ik vervolgens een half uur bezit om alle dubbele tekens eruit te halen.
- minstens 3 karakters bevatten die niet in het oude wachtwoord voorkwamen
Hoe wordt die vergelijking eigenlijk gemaakt?
Eventjes gecontroleerd, dit is wat er staat: http://puu.sh/ir49U/548c4ab57e.png.

Je moet je huidige wachtwoord invullen, zo kunnen ze het dus controleren. Zou inderdaad een beetje vreemd zijn als je dat uit een versleuteld wachtwoord kunt halen. ;)
Klopt. Toen ik de LastPass Security Challenge deed zag ik dat ik veel korte en identieke wachtwoorden had en ben ik al mijn wachtwoorden gaan vervangen door unieke lange wachtwoorden. Diverse sites (gelukkig maar een handvol van de honderden) hadden domme beperkingen in lengte of complexiteit.

Die sites heb ik via mail en Twitter gevraagd waarom ze die beperkingen hadden en of ze daar niet iets aan konden doen. Bij een aantal was dat binnen enkele dagen verbeterd, dus vriendelijk vragen kan zeker helpen!

In het geval dat ze er niks aan doen is het in ieder geval een prettig idee dat je voor hen een uniek wachtwoord hebt gebruikt en dus niet de rest van je accounts in gevaar brengt.
Mijn echte 'variable' wachtwoord wat ik overal gebruik is 14 tekens lang:)
Maar het was ter voorbeeld.
Volgens mij is dat geen goede manier, als iemand enkele sites in beheer heeft en jouw wachtwoorden analyseert, dan daar kan hij zo jouw wachtwoord patroon te weten komen. Dus dan zit je eigenlijk alsnog met een niet zo uniek wachtwoord.
Als jij 'enkele sites' gebruikt die allemaal je wachtwoord in plain-text in de database hebben staan is het volgens mij tijd om je te oriënteren op alternatieven.
Daar gaat het niet over, het gaat over dat je de website waar jij je wachtwoord in geeft je volle vertrouwen geeft. Want zij kunnen altijd jou plain-text wachtwoord te weten komen, onafhankelijk van hoe het in de database staat. Het gaat er net over dat je elke website een uniek wachtwoord geeft omdat je dat vertrouwen niet wilt geven...
True, al lijkt mijn wachtwoord voor tweakers.net hier op:

Tyoighkjtyoit1

Als ik niet verteld had van mijn 'tw + 5 truckje', zou iemand die zo'n wachtwoord ziet, nooit kunnen denken mijn facebook wachtwoord hieruit te kunnen raden..
En je kunt het ingewikkelder maken..
Lengte domain() + eerste letter + laatste letter:

8ts................

etc.. Ik heb iig overal een uniek wachtwoord, en het kost me weinig moeite, en is niet makkelijk te raden.
Tot dat je merkt dat een van deze sites gehacked is en je wachtwoord in plaintext heeft opgeslagen en al je wachtwoorden in één klap onveilig zijn geworden.
Dan vertrouw ik toch liever op een partij die gespecialiseerd is in dit, en waarvan je kan zien dat alle encryptie client side gebeurt.
Wat ben ik blij dat mijn hoofdwachtwoord meer dan 20 karakters is en ik ook two factor authentication aan heb staan. Maar toch, het is geen goed nieuws om te lezen. Ik gebruik LastPass al best lang om mijn wachtwoorden op te slaan.
Gezien het soort wachtwoorden dat ik moet gebruiken (en het aantal) ben ik indertijd ook overgestapt op een password-manager.
Ik heb Lastpass overwogen, maar juist het feit dat ik ergens bij een third-party een (cloud)-backup van al mijn wachtwoorden heb, maakte dat ik het minder veilig vond.
Het online zetten van enige honderden gebruikersnaam/wachtwoord-combinaties die allemaal bedrijfskritisch zijn...

Ik heb uiteindelijk voor Keepass gekozen, en heb op een aantal plekken een back-up staan van mijn database. True... bij een update van een wachtwoord moet ik die back-ups aanpassen, maar dat vindt ik minder problematisch dan me moeten afvragen wat ik moet doen na een bericht als bovenstaande (of... nog erger... als ze WEL toegang tot de opgeslagen wachtwoorden hadden weten te krijgen...)
De reden dat ik Lastpass toch vertrouw is omdat alle encryptie/decryptie van je vault lokaal gebeurt d.m.v. Javascript en niet op hun servers. Je kunt het zelfs zien gebeuren als je de code gaat debuggen. Ze slaan dus niks meer op dan een binaire blob, geen lijst met wachtwoorden. Zolang je master password van goede kwaliteit is, je een flinke work-factor instelt (de standaardwaarde is best goed) en je 2FA gebruikt is het risico daardoor zeer klein.

Natuurlijk is het veiliger om je wachtwoorden niet online te zetten, maar welke systemen zijn tegenwoordig nog echt offline. Het is altijd een afweging tussen gemak en veiligheid, maar ik denk dat veel mensen hun eigen kunnen overschatten. Ze syncen bijv. hun Keepass database via Dropbox o.i.d. Als je de juiste keuzes maakt is het veiliger, maar als je geen expert bent denk ik dat het veiliger is om de professionals in te zetten.
En dat betekent dus ook, dat als je je wachtwoord verandert, alle hashes 2x over de lijn moeten... ;)
Als passwoord manager heb je maar 1 taak...

Maargoed oplossingsgericht:
Wie nog 2 factor verificatie moet instellen doet dat zo:
To enable Multifactor Authentication, naar de LastPass Vault > Account Instellingen > Meervoudige Verificatiemogelijkheden.
Veranderen van je password reminders en hoofdwachtwoord:
. Select your LastPass Icon > Preferences > Account Settings >click the link to launch your Online Vault:

Master Password: If you would like to change your Master Password, click Change Master Password. If you would like to revert the change you made, click Revert Password Change.
Password Reminder: Click View to view your Master Password reminder.
2-factor verificatie helpt helemaal niets tegen dit soort aanvallen he... Ze zijn geen individuen aan het hacken en ze proberen helemaal niet de wachtwoorden te kraken: ze zijn gewoon naar binnen gegaan en hebben heel de database meegenomen...
De 2-factor werkt zover ik weet alleen voor toegang tot de store. Het voegt geen extra laag beveiliging toe aan de fysieke keystore. Of vergis ik me daarin? Dat lijkt me namelijk lastig als je bedenkt dat je ook op mobiele devices zonder bijv. je Yubikey toegang kunt krijgen. Daarbij geldt de unieke apparaat hash als authenticatie tussen de LastPass server en je device.
Als ik het goed begrijp moet je daarbij je master password in de browser intypen. Een schakel is zo sterk als zijn zwakke link, en dat dit je browser kan zijn toont Chema Alonso op zijn DefCon verhaal over javascript botnets.
Heel aardig om te zien, onafhankelijk van deze hack.
Een hack valt niet te voorkomen, maar wat je wel zoveel mogelijk kan voorkomen is dat hackers bruikbare informative in handen krijgen. Goede encryptie en hashing is doorvoor funest. Gelukkig lijkt LastPass de juiste voorzorgmaatregelem te hebben genomen waardoor er geen reden is tot blinde paniek. Dit is de enige juiste manier waarop het moet gaan wanneer een dienst gehackt wordt.

Wel allemaal even goed de aankomende mails van LastPass controleren. Als ik één van de hackers was zou ik simpelweg een phishingmail naar iedereen sturen, zeggen dat ze gehackt zijn en dat je via de link je masterpassword kan veranderen ;)
Een hack is wel te voorkomen. Alleen moet het dan wel allemaal perfect op orde zijn. Vaak is het net die ene module die ongepatched is gebleven, inside job, MySQL injectie, XSS, of andere opties. Het is niet eenvoudig om overzicht te houden op een gecompliceerd server park.
Zolang zelfs overheden, multinationals en beveiligingsbedrijf en gehackt worden kan je stellen dat het als bedrijf vrijwel onmogelijk is om te voorkomen dat je gehackt wordt. Zeker met zero days achter de hand.

Belangrijker is om simpelweg rekening te houden met het scenario dat je gehackt wordt en te zorgen dat de gegevens (in dit geval de encrypted password vault) veilig zijn. De master password zijn dusdanig gehasht dat het enorm lastig wordt deze te kraken.

Het by design beveiligen van data is een stuk veiliger en betrouwbaarder dan alle systemen up to date houden.

[Reactie gewijzigd door BarôZZa op 16 juni 2015 01:00]

Zolang zelfs overheden
Grapje toch? De overheden zijn nog wel het ergste van alles. Die kan je niet in 1 zin gebruiken met andere hele grote partijen, overheid en ICT gaan niet samen. Feit.

Verder heb je gelijk. Maar je hebt verder wel gelijk, maar je kan het wel nagenoeg dichttimmeren mits je overzicht hebt op je netwerk. En niet klakkeloos dingen updaten, want juist daardoor kunnen er exploits mee naar binnen glippen die er eerst niet waren e.d.
Ik heb een tijd bij een grote verzekeraar gewerkt, en daar draaiden applicaties uit de jaren 80 die ze geen upgrade durfden te geven omdat ze gewoon geen idee hadden wat er dan mis zou gaan. Is dat competentie? Als zo'n grote commerciele partij de mist ingaat, dan is dat minder groot nieuws, omdat het geen belastinggeld is. Maar daar gaan net zo goed grote projecten helemaal mis, en dat verschilt niet van de overheid.

De overheid is volgens mij behoorlijk competent, alleen zijn mislukte projecten altijd groot nieuws omdat daar voordeel mee te halen is: politiek voordeel voor de oppositie, en commercieel voordeel voor media. Als je zo'n nieuws leest, denk dan ook na over de belangen van diegenen die het nieuws brengen.
dit is deels waar, je kunt de kansen verkleinen maar denken dat je het anno 2015 kunt voorkomen is naïef. daarvoor zit er teveel kenns en geld achter de georganiseerde hackersorganisaties.

Credits voor lasstpass voor een snelle en adequate response.
Als er al een hack niet te voorkomen is, is het die van een inside job.

(Snowden?)
Precies de reden waarom ik geen hosted oplossing wilde voor mijn wachtwoorden.
Precies! Ik gebruik zelf KeePass. :)
Ik nu nog 1password op Dropbox, maar wil daar nog vanaf. Binnenkort eens (een paar) maand(jes) uittrekken om allemaal van dit soort dingen te regelen, encryptie, eigen mail server, goeie backups etc etc
Mooi dat LastPass belooft om zo transparant mogelijk te blijven. Uiteraard triest en dubieus als je als wachtwoord-tool 'gehackt' wordt. Maar ze zullen vast continu onder vuur liggen, de ultieme trofee voor een hacker. Er is dan ook veel buit te halen.
Ongeacht dat ze veel onder vuur liggen, hebben ze net als 1Password en anderen een bepaalde positie. Jammer dat ze het niet hebben kunnen voorkomen. En dat ze niet zo transparant zijn om aan te geven hoe het heeft kunnen gebeuren. Ik hoor alleen maar wat ze niet hebben gepakt, wat ze wel hebben gepakt, maar niet hoe, en daar ben ik als 'gedupeerde' meer benieuwd naar voor zo'n grote partij.
Hoe weten ze eigenlijk wat wel en niet is buitgemaakt? Is dat te zien in logs of wordt dat gegokt aan de hand van het veiligheidsniveau wat is doorbroken?
Ligt waarschijnlijk sterk aan welke server er nou precies gehacked is. Vermoedelijk zullen persoonsgegevens apart opgeslagen worden dan de werkelijke bestanden zelf.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True